Az új DocuSign adathalász csalás által megcélzott Microsoft 365 üzleti felhasználók

Egy új vállalati e-mail-kompromisszum (BEC) kampány a Microsoft 365-ös szervezeteket célozza meg, hogy megpróbálja feltörni a vállalati vezetők fiókjait, és rosszindulatúan átirányítsa az üzleti kifizetéseket.

A Mitiga kiberbiztonsági cég kutatói megállapították, hogy a hackerek a 365 többtényezős hitelesítésének (MFA), a Microsoft Authenticatornak és a Microsoft 365 Identity Protectionnek a hiányosságait használják ki.

A támadások a lándzsás adathalász taktikát a középen végzett módszerekkel kombinálják az e-mail fiókok veszélyeztetése érdekében. A támadók alapvetően üzleti tranzakciókat térítenek el azáltal, hogy e-mailt küldenek a számláról a címzettnek, és kérik, hogy változtassák meg a fogadó bankszámlát.

Ezek az e-mailek becsapják a címzettet, és elhitetik vele, hogy a szokásos csekkszámlát befagyasztották, és meggyőzik őket, hogy használjanak a fenyegetőzőtől származó alternatív fiókokat.

A támadó az e-mail-láncokat is eltéríti, hamisított „gépelési” domainekkel, amelyek első pillantásra valódinak tűnnek a rejtett karakterváltások miatt.

A Mitiga kutatói egy elhibázott támadás vizsgálata során fedezték fel a kampányt, amelyből kiderült, hogy a támadó olyan érzékeny információkhoz férhetett hozzá, amelyekhez csak egy felhasználói fiók feltörésével lehetett hozzájutni.

Hamis DocuSign bejelentkezési oldal

A nyomozás részeként a vállalat több helyről, köztük Szingapúrból, Dubajból és San Joséból, Kaliforniából fedezte fel a jogosulatlan hozzáférést egy vezető 365-ös fiókjához.

A kompromisszum egy „ember-in-the-middle” adathalászati ​​technikát alkalmazott a fiókhoz és a postafiókhoz való kezdeti hozzáféréshez. Az eredeti e-mailt a DocuSign kérésének utánzására hozták létre, pontosan utánozva a népszerű elektronikus üzleti megállapodás-kezelési platform elrendezését egy hamisított címmel.

Bár ez nem megy át a DMARC-ellenőrzéseken, a DocuSign spamértesítések minimalizálására használt klienskörnyezet hibás konfigurációja azt jelentette, hogy az e-mail nem lett blokkolva, és legitimként jelent meg a vezető e-mail-fiókjában.

Miután a „Dokumentum megtekintése” gombra kattintott, az áldozatot arra kérték volna, hogy írja be a Microsoft Azure hitelesítő adatait egy rosszindulatú tartományba. E taktikák részeként a fenyegetés szereplője adathalász keretrendszert használ, például az evilginx2-proxyt, amely közvetítőként működik a hamis bejelentkezési oldal és a valódi oldal között.

Amikor az áldozat megadja adatait, a támadó elkapja a munkamenet-cookie-t, és átveszi a felhasználó munkamenetét anélkül, hogy újból meg kellene adnia egy jelszót vagy jóvá kellene hagynia egy MFA-kérést. Az áldozat ezután egy általános DocuSign hibaoldalra kerül.

Többtényezős hitelesítés felülbírálása

A jogsértést azonban tetézi, hogy a támadó ezután szabadon beállíthatott egy második hitelesítő alkalmazást a felhasználó számára a tudta nélkül, amely lényegében állandó hozzáférést tesz lehetővé a fiókhoz a munkamenet lejárta vagy megszüntetése után.

“Ez lehetővé tette a támadók számára a feltört fiók teljes kitartását, és gyakorlatilag kiirtotta az MFA értékét” – mondta Mitiga.

A vizsgált incidensben a biztonsági cég azt mondta, hogy a támadók hozzáfértek az Exchange-hez és a SharePoint-hoz, de még nem választottak ki egy pillanatot a beérkező levelek közül.

Megállapításait összegezve a Mitiga elmondta, hogy bár az ilyen típusú támadások megelőzése nehéz, ellenőrzésük és mérséklésük viszonylag egyszerűnek kell lennie azáltal, hogy a biztonsággal kapcsolatos tevékenységekhez MFA-kihívást kell előírni. A Microsoft azonban jelenleg nem kínálja ezt.

„Tekintettel a felgyorsult növekedésre [these] támadások esetén (még a támadó által egy új, kompromittált hitelesítési módszer hozzáadásával lehetővé tett kitartás nélkül is) egyértelmű, hogy többé nem hagyatkozhatunk a többtényezős hitelesítésre, mint fő védelmi vonalunkra az identitástámadásokkal szemben” – áll a közleményben.

“Határozottan javasoljuk egy másik védelmi réteg felállítását, egy harmadik tényező formájában, fizikai eszközhöz vagy az alkalmazott által engedélyezett laptophoz és telefonhoz kötve.”

A vállalat hozzátette: “A Microsoft 365 ezt a feltételes hozzáférés részeként kínálja, azzal a feltétellel, hogy csak regisztrált és kompatibilis eszközön keresztül kell hitelesíteni, ami teljesen megakadályozná [these] támadni.”

Ajánlott források

90 nap alatt papírmentesen

A gyors és hatékony digitalizálás három lépése

Ingyenes letöltés

Navigálás a hibrid felhőben

Biztosítsa az üzletmenet folytonosságát és alacsonyabb IT-beszerzési költségeket a helyszíni privát felhő segítségével

Ingyenes letöltés

Az üzleti alkalmazások sikeres modernizálásához hibrid felhő infrastruktúra szükséges

Optimalizálja az üzleti eredményeket egy biztonságos és megbízható modern infrastruktúrával

Ingyenes letöltés

Ismerje meg, hogyan érhet el 200%-nál nagyobb ROI-t a Workplace segítségével

Hogyan segíthet a Workplace a frontvonalbeli dolgozóknak?

Ingyenes letöltés

Leave a Comment

%d bloggers like this: